« Attaques collectives par saturation de service », c’est désormais l’expression française pour parler des attaques DDoS (attaque par déni de service distribué) qui dominent les gros titres de la cybercriminalité.
Les cybercriminels élargissent leurs techniques d’attaques, même si les attaques DDoS ne sont pas nouvelles, l’actualité les a mises en avant, devenant ainsi une menace en pleine croissance, entrainant plusieurs dommages qui peuvent s’avérer graves :
- risque de perturbation de l’activité, voire d’interruption de service avec des répercussions financières et une réputation entachée.
- risque de cacher une attaque plus sérieuse et profonde dans le système
… et contrairement à des cyberattaques plus puissantes comme les ransomware, une fois l’attaque passée, les DDoS ne laissent pas de trace chez la victime.
L’occasion d’analyser ce type d’attaque, d’en comprendre le fonctionnement et de revenir sur les tendances de cette menace.
Qu’est-ce qu’une attaque DDoS ?
Une attaque par déni de service distribué (de l’anglais Distributed Denial of Service DDoS) est une activité malveillante menée par un cybercriminel afin de perturber le trafic normal d’un serveur, d’un service ou d’un réseau.
L’attaquant submerge ainsi sa cible de trafic Internet indésirable, entraînant :
- une réponse aux requêtes beaucoup plus lente que la normale
- un dysfonctionnement des requêtes, de la ressource Web
Pour ce faire, il va utiliser une faille de sécurité ou un logiciel malveillant pour infecter sournoisement des machines afin d’en prendre le contrôle. Chaque appareil infecté, appelé « bot » ou « zombie », devient capable de participer aux attaques DDoS. Des armées de bots appelées « botnets » tirent parti de leur nombre pour gagner en puissance. De plus, ces bots usurpent généralement des adresses IP, ce qui anonymise les activités malveillantes.
Ces botnets peuvent être achetés par le biais de services d’« attaque à louer ». Cela permet à des personnes mal intentionnées mais sans formation ni expérience de lancer facilement des attaques DDoS par leurs propres moyens.
Les ressources réseau, telles que les serveurs Web, ne peuvent simultanément gérer qu’un nombre limité de requêtes. Outre la limite de capacité du serveur, le canal qui relie le serveur à Internet possède lui aussi une bande passante restreinte.
Les ressources réseau étant limitées en gestion du nombre de requête, elles saturent et créent un dysfonctionnement.
Il existe 3 typologies d’attaques :
Les attaques volumétriques
Ce sont les attaques les plus fréquentes. Elles consistent à envoyer un nombre important de requêtes depuis un grand nombre de machines vers une seule et même infrastructure de manière à surcharger sa bande passante. Ainsi, l’infrastructure ciblée sera saturée et dans l’incapacité de traiter toutes ces requêtes à l’apparence légitime.
Lors d’une attaque de type UDP flood, les cyber criminels cherchent à inonder les ports de la cible avec des paquets IP comportant le protocole UDP sans état. L’infrastructure ciblée va solliciter les applications associées aux paquets UDP, et si elles ne sont pas trouvées, va renvoyer un message « Destination inaccessible » au requêteur. L’infrastructure ne sera plus disponible.
Pour mener des attaques par amplification DNS, l’attaquant peut interroger :
- des serveurs faisant autorité pour des zones comportant des enregistrements de grande taille.
- des serveurs récursifs[1] répondant à des questions provenant d’Internet.
Les attaques protocolaires
Ce type de déni de service vise les protocoles de communication réseau afin de tirer profit de leurs faiblesses. Il s’agit d’épuiser des tables d’état en utilisant toutes les ressources des serveurs ou des équipements réseau comme les pare-feu.
SYN flood : Le protocole TCP permet la connexion entre un système (client) et un service (serveur) en trois étapes : le client envoie d’abord un message SYN au serveur qu’il vise. Celui-ci répond par un message SYN-ACK. Puis il revient au client d’envoyer un message ACK pour ouvrir définitivement la connexion. Lors d’une attaque par déni de service, les cybercriminels envoient un large nombre de requêtes SYN sans compléter les autres étapes de connexion. À terme, ces connexions partielles occupent tous les ports du serveur visé, si bien qu’il ne peut plus recevoir aucune nouvelle requête de connexion.
Attaque par rebond (ICMP-Internet Control Message Protocol) : l’attaquant va s’appuyer sur l’écosystème de sous-traitants ou de fournisseurs de services de la cible afin de mener son attaque au niveau du réseau. L’attaquant envoie un paquet à une adresse réseau de diffusion entrainant une réponse automatique de chaque hôte. Le protocole ICMP est utilisé pour la messagerie d’erreur et peut accompagner les paquets de protocole TCP qui permet les échanges sur un réseau entre les programmes d’application et les terminaux informatiques. Avec cette méthode, le nombre de réponses déclenchées va submerger le service visé.
Les attaques au niveau de la couche applicative
L’objectif est d’impacter les applications web. Certaines attaques visent à épuiser les capacités de traitement du service visé. Par exemple, un cyber attaquant peut chercher à atteindre la limite du nombre de requêtes simultanées qu’un serveur web peut traiter. D’autres types d’attaques applicatives cherchent à consumer toutes les ressources de calcul d’un serveur en initiant un grand nombre de sessions TLS (Transport Layer Security). Il est également possible d’exploiter des faiblesses dans la conception d’une application web.
En détail
En chiffre
- Les attaques DDoS sont généralement de courtes durées, Cloudflare les estime à environ 20 minutes.
Elles ont tendance à diminuer. Les crises d’attaques de cinq à neuf heures restent en deuxième position (3,16 % des crises) ; tandis que celles d’une durée de 10 à 19 heures étaient en troisième position (1,60 %).[2]
- Il faut savoir que « seules 10,5 % des attaques durent entre une et six heures, et la plupart durent moins de quinze minutes. » (source : rapport DDoS Threat Landscape d’Imperva)
Près de 70 % des entreprises interrogées subissent entre 20 et 50 attaques DDoS par mois.[3]
- Le premier semestre 2022 a été marqué par une augmentation de l’activité DDoS dans le monde.
En France, on comptait plus de 9 millions d’attaques DDoS en 2021.
- En ce qui concerne les secteurs ciblés, il a été constaté que les éditeurs de logiciels avaient subi une hausse de 606 %. Les agences et courtiers d’assurance également avec une augmentation de 257 % et le secteur de l’informatique une hausse de plus de 162 %.
- Une attaque peut coûter cher. Selon une enquête Corero, l’impact peut aller jusqu’à 50 000 $ en perte de revenus.
Aperçu géographique
- Selon Spamhaus, le pays avec le plus de botnets est la Chine, soit plus de 820 000 bots.
L’Inde est le deuxième pays, avec un peu plus de 800 000 bots, suivie de l’Iran, qui en compte environ 400 000.
- La plupart des attaques de la couche applicative en 2022 ont eu lieu au Japon (+105 % par rapport à 2021) et à Taiwan (+200 %, par rapport à 2021).[4] Et les secteurs les plus attaqués restent les sociétés du high tech et de la télécommunication, vient ensuite l’industrie des jeux.
Autre fait intéressant à souligner : la Chine a remplacé les États-Unis en tant que principale source de trafic d’attaques, avec une augmentation de 29%, suivi de près par l’Inde (augmentation de 61 %), puis les États Unis et le Brésil. À noter que le Brésil est un acteur de plus en plus présent dans l’écosystème cyber.
- La plupart des attaques de la couche réseau en 2022 ont lieu, elles, aux USA et à Singapour.
Elles touchent essentiellement le secteur du jeu et des télécommunications. La source de ces attaques provient d’Azerbaïdjan, de Tunisie.
Les DDoS de tous les records
Les attaques par déni de service distribué (DDoS) ont atteint des niveaux « sans précédent » ces deux dernières années, et se mesurent désormais en térabits.
- Novembre 2021, Microsoft a pu stopper une attaque DDoS à 3,47 Tbps
- Une variante du botnet Mirai a lancé une attaque de 2,5 Tbps (téraoctets par seconde), la cible était un serveur Minecraft nommé Wynncraft. Il s’agissait d’une attaque volumétrique.
- En janvier 2022, la Corée du Nord a subi une attaque DDoS qui a duré environ six heures.
- Une autre version également du botnet Fodcha DDoS est apparue. Le botnet utilise désormais le chiffrage pour établir la communication avec le serveur C2. A sa création en avril 2022, il faisait 100 victimes par jour, aujourd’hui il en est à 1000. Il s’est d’ailleurs attaqué à un fournisseur de services cloud (1 Tbit/s)
- Avant Google, c’était la société Cloudflare qui en juin 2022 avait stoppé une attaque DDoS de 26 millions de requêtes avec à peine plus de 5000 machines.
- Le 27 juin 2022, une entreprise chinoise spécialisée dans les télécommunications a été la cible d’une attaque DDoS qui aurait duré 4 heures et atteint un pic à 3,9 millions de requêtes par seconde.
Tendance
L’actualité géopolitique dans le monde, la pandémie, et l’évolution de la surface d’attaque ont permis de créer de multiples possibilités d’agressions dont le DDoS fait partie.
Pourquoi une telle tendance ?
La géopolitique en cause
Les attaques DDoS sont aussi un moyen d’expression pour montrer un soutien ou une opposition politique. La guerre Russo Ukrainienne est un exemple.
En effet le hacktivisme patriotique a explosé avec les tensions entre pro-russes et pro-ukrainiens.
Les entreprises russes de médias en ligne ont été les industries les plus ciblées en Russie au premier trimestre 2022. Dans le cyberespace Russe et Ukrainien, les industries les plus ciblées étaient les médias en ligne et les médias audiovisuels.[5]
- Un groupe pro-russe : NoName057, a même créé un projet participatif appelé « DDOSIA » qui rémunère des volontaires (13000 membres sur leur chaine Telegram à aujourd’hui) lançant des attaques DDOS contre les ennemis de la nation. En contrepartie les volontaires repartent avec une prime allant de 300$ à 1250$.
- En juillet 2022, Killnet a lancé plusieurs attaques DDoS sur des cibles d’infrastructure, des aéroports, des sites Web gouvernementaux Lituaniens.
- Le 16 aout 2022, 7,25 millions de robots ont visé le site de l’opérateur ukrainien des centrales nucléaires, Energoatom pendant trois heures.
Chacun défend sa nation à grand renfort d’attaques par déni de service, l’objectif étant d’infliger des ravages à leurs cibles, de causer des perturbations économiques ou sociales.
À la suite des tensions entre la Chine et Taiwan, on a noté là encore, une augmentation d’attaques de ce type.
Le Web est le nouveau champ de bataille et un jeu de pouvoir.
La course à la concurrence
Il existe également une concurrence de plus en plus féroce, tous les moyens sont bons pour affaiblir le concurrent, récupérer des parts de marchés, ou atteindre la réputation.
Solana qui abrite de nombreux projets DeFi (La finance décentralisée, ou « DeFi », est une infrastructure financière numérique), est tombé en panne pour la quatrième fois en douze mois à la suite de multiples attaques DDoS, en décembre 2021. Ces pannes ont nui à son image, alors que le site tentait de se positionner face à Ethereum.[6]
Les chercheurs en cybersécurité constatent aussi de plus en plus de cas d’anciens employés qui ont recours à cette méthode pour se venger de leurs anciens employeurs.
Émergence de nouveaux cybercriminels
L’apparition d’attaques avec rançon n’est pas à occulter et elles ont un nom : RDDoS, les attaques d’extorsion DDoS. Le but d’un RDDoS est d’extorquer financièrement la victime en mettant hors ligne leur site Web. L’ajout de l’extorsion est la nouveauté.
Les attaquants utilisent beaucoup ces attaques afin de détourner l’attention des équipes de sécurité pour mener des attaques plus furtives et sophistiquées et difficilement attribuables.
Pour en savoir plus sur les Cyber Gangs : Cyber Gangs, les mafias du futur ?
Mais chose très surprenante, les attaquants eux-mêmes en sont victimes. Ainsi le 20 août 2022, LockBit était KO sous une attaque de 1000 serveurs et 400 requêtes par seconde pour chaque domaine malveillant.
Une semaine plus tard c’est au tour de ALPHV d’être victime, depuis, d’autres sites de fuites de gangs de ransomwares ont été touchés.
Qui sont derrières ces attaques ? Des gangs rivaux ? Des services de renseignement ? L’attribution n’est pas claire. Pour autant, dans le domaine de l’offensif, ce type d’attaque pourrait devenir un moyen de protection et laisser un temps précieux aux équipes de défense pour enquêter.
Solution
Face à ces chiffres, et la recrudescence de ce type d’attaques, il est nécessaire d’adopter une approche de défense en profondeur, cela passe par différents outils.
La mission de TEHTRIS est d’aider à faire face à ce type d’attaques.
Une attaque DDoS peut également constituer une diversion pour occuper les équipes de cyberdéfense. Ainsi, les cybercriminels ont plus de temps de lancer une attaque plus complexe en profondeur sur le système, tandis que les défenseurs s’occupent de rétablir le service impacté. C’est à ce moment que les outils TEHTRIS vont montrer leur plein potentiel. En effet, nos solutions vont neutraliser la menace automatiquement et immédiatement sans besoin d’une action humaine. La console unifiée XDR permet d’avoir une vision unique de tout ce qui se passe sur le parc informatique. Une analyse forensique post-mortem permettra également de s’assurer qu’il ne s’est rien passé d’anormal sur le parc informatique pendant la période de l’attaque de déni de service distribué.
- DDoS sur la couche applicative vs EDR/EPP
Ces attaques ciblant les vulnérabilités présentes sur l’infrastructure victime, le module Audit de l’outil EDR permettra de vérifier qu’il n’y a pas de versions vulnérables de logiciel installé. De même, l’EPP avec son module Anti-exploit permet d’éviter toute exploitation de failles sur les machines protégées par TEHTRIS.
[1] Serveur DNS qui explore les serveurs remplaçants du serveur primaire quand ce dernier est injoignable.
[2] Kasperky
[3] Spamhaus-2022
[4] Rapport Cloudflare sur les menaces DDoS 2022 Q3
[5] Source Cloudflare 2022
[6] https://journalducoin.com/solana/le-reseau-solana-sol-neutralise-quelques-heures-soupcon-dattaque-ddos/